Diferența dintre XSS și CSRF

Diferența cheie: XSS și CSRF sunt două tipuri de vulnerabilități ale securității calculatorului. XSS înseamnă Cross-Site Scripting. CSRF reprezintă o falsificare a solicitărilor transfrontaliere. În XSS, hackerul profită de încrederea pe care o are un utilizator pentru un anumit site web. Pe de altă parte, în CSRF, hackerul profită de încrederea unui site web pentru un anumit browser.

XSS înseamnă Cross-Site Scripting. Cross Site Scripting este un exploatare de securitate în care un hacker malware inserează scripturi într-o formă dinamică. Acesta este considerat acum cel mai frecvent vulnerabilitate de securitate care se găsește în site-uri web. În XSS, un hacker injectează un script malware pe o pagină web. Acest script este adăugat pentru a provoca o formă de vulnerabilitate față de o victimă.

Atacatorii sau hackerii folosesc JavaScript, VBScript, ActiveX, HTML sau Flash în acest scop. Odată ce atacul are succes, hacker-ul poate provoca daune în multe feluri. De exemplu, atacatorul poate deturna contul sau chiar poate schimba setările utilizatorului. Un exemplu comun de XSS poate fi văzut în cazul în care o legătură rău intenționată este folosită în acest scop. Se creează o legătură care conține un cod rău intenționat ascuns, iar utilizatorul este rugat să facă clic pe el. Dacă utilizatorul dă clic pe el, codul rău intenționat se execută pe browserul web al clientului.

Cross-site scripting atacurile pot fi în general împărțite în două tipuri -

  • Persistente - În acest tip de vulnerabilitate, datele rău intenționate sunt stocate permanent într-o bază de date și sunt accesate mai târziu și conduse de victime fără a avea nicio cunoaștere a acestora.
  • Non-persistent - În acest tip de vulnerabilitate, datele furnizate de hacker-ul rău intenționat sunt folosite la instanța respectivă fără întârziere.

CSRF reprezintă o falsificare a solicitărilor transfrontaliere. Este, de asemenea, cunoscut sub numele de atac cu un singur clic sau de sesiune de echitatie. Beneficiază de încrederea site-ului vizat pe un utilizator. Un atac rău intenționat este proiectat astfel încât un utilizator să trimită solicitări rău intenționate către site-ul țintă fără a avea cunoștință de atac. O serie de sarcini pot fi executate de către un atacator care utilizează CSRF, de exemplu, un anumit conținut poate fi postat la un mesaj de bord, stocurile pot fi tranzacționate și chiar poșta electronică poate fi trimisă prin poștă. Una dintre cele mai comune metode de a efectua un atac CSRF este utilizarea unei etichete de imagine HTML sau a unui obiect de imagine JavaScript.

Acest tip de vulnerabilitate nu se limitează numai la browsere. Scripting-ul malware poate fi făcut și printr-un document word, fișier Flash, film, etc. Unele dintre caracteristicile importante ale CSRF includ -

  • Nu este obligatoriu ca victima să fie logată, deoarece depinde de intenția atacatorului.
  • Cererile multiple pot fi generate de către atacator la site-ul țintă.
  • Funcționează extrem de bine cu alte tipuri de atacuri.
  • În general, datele de pe site-ul atacat nu pot fi citite de către atacator și acest lucru servește drept o limitare pentru CSRF.

Comparație între XSS și CSRF:

XSS

CSRF

Formular complet

Scripting pe mai multe site-uri

Cererea de falsificare a site-urilor

Definiție

În XSS, un hacker injectează un script malware de pe un site web. Acest script este adăugat pentru a provoca o formă de vulnerabilitate față de o victimă.

Beneficiază de încrederea site-ului vizat într-un utilizator. Un atac rău intenționat este conceput în așa fel încât un utilizator să trimită solicitări rău intenționate către site-ul țintă fără a avea cunoștință de atac.

Dependenţă

Injectarea datelor arbitrare prin date care nu sunt validate

Cu privire la funcționalitatea și caracteristicile browserului pentru a prelua și a executa pachetul de atac

Cerința de JavaScript

da

Nu

Condiție

Acceptarea codului rău intenționat de către site-uri

Codul rău intenționat este localizat pe site-uri terțe părți

Vulnerabilitate

Un site vulnerabil la atacurile XSS este, de asemenea, vulnerabil la atacurile CSRF

Un site care este complet protejat de tipurile de atacuri XSS este în continuare cel mai probabil vulnerabil la atacurile CSRF.

Recomandat

Articole Similare

  • comparații populare: Diferența dintre SQL vs. MySQL

    Diferența dintre SQL vs. MySQL

    Diferența cheie: O diferență evidentă între SQL și MySQL este că prima este o limbă utilizată în crearea, compilarea și menținerea sistemelor de gestionare a bazelor de date, cum ar fi MySQL. SQL este scurt pentru Language Structured Query. Este un limbaj de calculator care ajută un utilizator să acceseze, să manipuleze și să recupereze informații dintr-o bază de date. SQL, în principiu
  • comparații populare: Diferența dintre Samsung Galaxy S4 Active și HTC One

    Diferența dintre Samsung Galaxy S4 Active și HTC One

    Diferenta cheie: Samsung a anuntat ca a adaugat un nou telefon la gama sa care imbina robustetea vechii Samsung Xcover cu caracteristicile si oomph-ul noului Galaxy S4. S4 Active este praf și impermeabil. Telefonul este dotat cu un touchscreen capacitiv TFT Full HD TFT de 5 inch, care diferă de AMOLED folosit în S4. H
  • comparații populare: Diferența dintre Promisiune și Angajament

    Diferența dintre Promisiune și Angajament

    Diferența cheie: Promisiunea este o asigurare sau o declarație de a face ceva sau de a se întâmpla cu ceva. Angajamentul se referă la declarația pentru care unul tinde să devină dedicat pentru a se asigura că declarația este adevărată. Majoritatea oamenilor se confundă cu termenii cum ar fi promisiunea și angajamentul, iar confuzia se referă la faptul că atunci când ar trebui să facă o declarație ca promisiune și când ar trebui să fie considerată ca un angajament. Există o legătură strâ
  • comparații populare: Diferența dintre Octopus și Octopi

    Diferența dintre Octopus și Octopi

    Diferența cheie: Octopusul se referă la un animal învechit, care aparține familiei Mollusca. "Octopi" este un plural greșit de caracatiță. Octopusul se referă la un animal nevertebrat aparținând familiei Mollusca. Are o trăsătură distinctivă a opt arme. Are un corp în formă de sac și culoarea pielii variază de obicei astfel încât să se potrivească cu mediul. Are o gură de ciocă
  • comparații populare: Diferența dintre ziar și revista

    Diferența dintre ziar și revista

    Diferența principală : diferențele dintre un "ziar" și "revista" se bazează pe aspectul, dimensiunea, lizibilitatea, conținutul și publicul. Cu toate acestea, singura diferență principală este că revistele sunt disponibile lunar, iar ziarele sunt disponibile zilnic. Rădăcinile ziarului se află încă din vremea lui Iulius Cezar. La vremea acee
  • comparații populare: Diferența dintre handicap și handicap

    Diferența dintre handicap și handicap

    Diferența principală: handicapul și handicapul sunt sinonime apropiate unul de celălalt. Dizabilitatea înseamnă incapacitatea unei persoane de a-și îndeplini acțiunile de rutină. Handicap înseamnă dificultatea întâmpinată de o persoană în îndeplinirea sarcinilor sale. Dizabilitatea este o afectare a abilității de a funcționa. Insuficiența poate
  • comparații populare: Diferența dintre Pulsar 150 și CBZ Xtreme

    Diferența dintre Pulsar 150 și CBZ Xtreme

    Diferența cheie: Pulsar 150 este un model de motocicletă de către compania numită Bajaj Auto. CBZ Xtreme este o motocicleta de 150 cc de la compania numita Hero Honda Motors. Ambele variază în diferite specificații. Bujaj pulsar este admirat pentru aspectul său și puterea excelentă, în timp ce eroul Honda Xtreme poate fi admirat pentru noua sa tehnologie de vârf și caracteristici cum ar fi lampa cu LED-uri pentru coada, tuburi de tufiș etc. În prezent,
  • comparații populare: Diferența dintre autoritate și putere

    Diferența dintre autoritate și putere

    Diferența principală: Termenii "autoritate" și "putere" se completează reciproc. Autoritatea este o abilitate legală și o autorizare a exercitării puterii, în timp ce "Puterea" este capacitatea de a controla autoritatea. Puterea este capacitatea de a menține autoritatea, adică puterea îi conferă o autoritate de a gestiona și de a conduce o anumită funcție sau sarcină într-o întreprindere. Din acest motiv,
  • comparații populare: Diferența dintre ștergerea și trunchierea în SQL

    Diferența dintre ștergerea și trunchierea în SQL

    Diferența principală: ștergerea și trunchierea sunt comenzi SQL, folosite pentru a efectua operații specifice. Acestea sunt diferite tipuri de limbi de date. Comanda "DELETE" este utilizată pentru a elimina orice rând specific dintr-o tabelă, în timp ce o comandă "TRUNCATE" este utilizată pentru a elimina datele din tabel. Comanda &

Alegerea Editorului

Diferența dintre arheologie și genealogie

Diferența cheie: Arheologia se ocupă de studiul artei vechi, obiceiurilor și științei prin procesul de recuperare și analiză a lucrurilor lăsate în urmă. Genealogia este studiul familiei și este o urmărire continuă a strămoșilor. Arheologia și genealogia sunt, în general, destul de indistincioase și confuze. Ambii termeni se